למה צריך לרכוש תעודות בשביל שרת אחורי?
למה לא להנפיק תעודה self signed ולהתקין אותה על שרתים בדומיין כtrusted?
On Mon, Nov 10, 2014, 08:37 Tal.zmiri <Tal.zmiri@mail.gov.il> wrote:מאושר ע"ח יתרת ש"ע בהזמנה של אתר המילואים.
נשלח מסמרטפון ה- Samsung Galaxy שלי.
-------- הודעה מקורית --------
מאת: Maayan Cyzs
תאריך:10/11/2014 08:35 (GMT+02:00)
אל: Meir Azran , "Tal.zmiri"
עותק: eyalgr99@gmail.com, Alex Prober , "Barzilai, Omer (Omer.Barzilai@ca.com)" , Sagiv Tuvia
נושא: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
מאיר תודה על המחמאה, הזלזול מיותר.
טל – אישורך לרכש של שתי תעודות בבקשה.
תודה ויום נעים,
מעיין
מעיין ציז| מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il | www.matrix.co.il
From: Meir Azran [mailto:meira@gov.il]
Sent: Monday, November 10, 2014 8:23 AM
To: Maayan Cyzs
Cc: eyalgr99@gmail.com; Alex Prober; Tal.zmiri (Tal.zmiri@mail.gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); Sagiv Tuvia
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
היי מעיין
את ממש חמודה
כמובן שנדרש ביצוע רכש לנו אין תעודות לתת סתם כך אנו רוכשים אותם כמו כולם
יום טוב
מאיר
From: Maayan Cyzs [mailto:maayancy@matrix.co.il]
Sent: Sunday, November 09, 2014 5:57 PM
To: Meir Azran
Cc: eyalgr99@gmail.com; Alex Prober; Tal.zmiri (Tal.zmiri@mail.gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); Sagiv Tuvia
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
מאיר,
מה לגבי SSLים לשרת של הניפוחים ולשרת או"פ?
האם יש לכם תעודות שניתן לשים על השרתים או שנדרש רכש?
*מדובר בשרתים אחוריים.
תודה,
מעיין
מעיין ציז| מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il | www.matrix.co.il
From: Maayan Cyzs
Sent: Sunday, November 09, 2014 12:56 PM
To: 'Meir Azran'; Tal.zmiri (Tal.zmiri@mail.gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); Sagiv Tuvia
Cc: eyalgr99@gmail.com; Alex Prober
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
אוראל יוכל לסייע בסעיף 4.4 מחר בצהריים.
מעיין
מעיין ציז| מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il | www.matrix.co.il
From: Meir Azran [mailto:meira@gov.il]
Sent: Sunday, November 09, 2014 12:33 PM
To: Maayan Cyzs; Tal.zmiri (Tal.zmiri@mail.gov.il); Barzilai, Omer (Omer.Barzilai@ca.com); Sagiv Tuvia
Cc: eyalgr99@gmail.com; Alex Prober
Subject: RE: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
היי מעיין
חלק מהממצאים יתוקנו היום
ישנם ממצאים אשר אוראל ביקש לבצע ביחס אתנו סעיף 4.4
ביחס לסעיף 4.9 – בבירור אנשי DBA שלנו
היום אשלח סטטוס מהצד שלנו ביחס לתיקון הממצאים
בברכה,
מאיר
From: Maayan Cyzs [mailto:maayancy@matrix.co.il]
Sent: Sunday, November 09, 2014 12:20 PM
To: Tal.zmiri (Tal.zmiri@mail.gov.il); Meir Azran; Barzilai, Omer (Omer.Barzilai@ca.com); Sagiv Tuvia
Cc: eyalgr99@gmail.com; Alex Prober
Subject: סיכום סטטוס אבטחת מידע - פרויקט מפקדים
Importance: High
שלום לכולם,
מצורף אקסל משימות אבטחה + סטטוס עדכני.
טל – שים לב בבקשה לממצאים שרלוונטיים לממר"ם ומדור או"פ.
עומר – אני ממתינה להתייחסותכם בהמשך להתכתבותינו ביום חמישי.
מאיר – מה הצפי לסיום הליקויים בממשל זמין?
מחר אוראל יגיע להמשך עבודה בממשל זמין.
להלן הסעיפים הפתוחים:
סעיף
ממצא
גורם אחראי
סטטוס מבדיקות רגרסיה של מצוב
הערות
4.4
ממשל זמין
תוקן חלקית, כמות ה-DA קטנה בכחצי, אך עדיין מחוברים לשרתים. בנוסף, ישנם משתמשים local admin גם על שרתי frontend וגם על שרתי backend
רידוד הרשאות ניתן לעשות מחר בנוכחות אוראל.
4.8
מנגנון לקוי להגנה מפני clickjacking
CA
לא תקין
התיקון שהוצע שובר פונקציונליות באתר כיוון ש-sp צריך להציג frame מתוך owa. מכאן שיש סתירה בין התנהגות המערכת לדרישה האבטחתית. צריך לדון בזה.
4.9
services רצים בהרשאות גבוהות
ממשל זמין + CA
SQL SERVER - להעביר ליוזר רגיל.
CYBER ARK - להעביר ליוזר רגיל.
TOMCAT + ARCOT להעביר ליוזר רגילנעשה ניסיון לרדד את הרשאות ה-Apache Tomcat של Siteminder ללא הצלחה. יש לקבל התייחסות מ-ca מדוע יש צורך בהרשאות Local Admin למוצר. לא ניתן לשדרג את שרת Tomcat על פי טענת נציג CA
ביצוע Auditing על השרתים
ממשל זמין
לא תקין
private keys שניתנים לייצוא
ממשל זמין
לא תקין
עדיין קיים בשרתי CA - נא למחוקwindows firewall כבוי
ממשל זמין
חוקי ANY - ANY צריך להגביל.
גרסאות ישנות של תכנות ושירותים
ממשל זמין
האתר עובד על .NET 2 - שכפול טייסות. לא הולך להשתנות.
מידע רגיש חשוף בקבצי קונפיגורציה
מדור או"פ
לא תקין
מידע רגיש חשוף בקבצי קונפיגורציה
CA
לא תקין
יש להצפין את שם המשתמש והסיסמא בarcotconfig.properties.
יש לעדכן את הlogin servlet בהתאם.
יש למחוק את הקובץ SendMil4USMS.jspקוד מקור שמור בשרתים
מדור או"פ
לא תקין
לטיפול מדור או"פ
4.11
שרשור דינאמי של פרמטרים לשאילתות SQL
מטריקס
לא יתוקן, חלק מהתשתית
מבוצעת בדיקה בצד האתר על כל הפרמטרים שנכנסים ל - DB, במידה וימומש תרחיש תקיפה מול URL ספציפי יש להעבירו נקודתית לתיקון,
מתבצעת סקירת קוד לגבי בדיקת הפרמטרים בטרם הכנסתם ל - DB4.12
הלבנה והשחרה
ממשל זמין
לא תקין
4.13
פרוטוקול HTTPS בתקשורת בין השרתים
ממשל זמין + מטריקס
קיימים תהליכים בין השרתים הקדמיים לאחוריים בפורט 80
קיימים שני serviceים שנצרכים מאחורה ב – 80, אחד הוא ההזדהות מול OP DB, והשני הוא מול שרת ה"ניפוחים".
לשם ביצוע אנחנו צריכים שיותקנו תעודות SSL על שרת הניפוח ועל DB ההזדהות, לאחר ההתקנה נוכל להעביר לפורט 80.
האם לרכוש תעודות או שקיימות תעודות שניתן להשתמש בהן לשרתים אחוריים בממשל זמין?
4.14
פערים בהקשחה תקשורתית
ממשל זמין
לא תקין
4.16
זיהוי מידע כוזב במס"ד הנתונים
ממר"מ
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם.
זיהוי מידע כוזב במס"ד הנתונים
מדור או"פ
לא תוקן, יש להדגיש שהמדיניות הלקויה הוגדרה על ידי מחב״ם.
4.17
שרתים ברמות חשיפה שונות
ממשל זמין
לא תקין
בברכה,
מעיין
מעיין ציז| מנהלת תחום פרויקטים | חטיבת פתרונות פננסיים וטכנולוגיות | מטריקס |
03-9765228 , נייד: 054-2408894 | maayancy@matrix.co.il | www.matrix.co.il
תוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות
This mail was received and tested using PineApp HZתוכן הודעת דואל זו שייך בלעדית לממשל זמין ומיועד אך ורק למכותבי ההודעה אם אינך אחד מהמכותבים, כל פעולות חשיפה, העתקה או הפצה של ההודעה הינן אסורות
This mail was received and tested using PineApp HZ
